Une déclaration commune signée par les régulateurs d’une douzaine d’organismes internationaux de surveillance de la vie privée, dont l’ICO du Royaume-Uni, l’OPC du Canada et l’OPCPD de Hong Kong, a exhorté les plateformes de médias sociaux grand public à protéger les publications publiques des utilisateurs contre le grattage – avertissant qu’elles font face à une responsabilité légale de le faire dans la plupart des marchés.
« Dans la plupart des juridictions, les informations personnelles qui sont « accessibles au public », « accessibles au public » ou « de nature publique » sur Internet sont soumises aux lois sur la protection des données et la vie privée », écrivent-ils. « Les individus et les entreprises qui récupèrent ces informations personnelles sont donc responsables de s’assurer qu’ils respectent ces lois et les autres lois applicables. Toutefois, les sociétés de médias sociaux et les exploitants d’autres sites Web hébergeant des informations personnelles accessibles au public (SMC et autres sites Web) ont également des obligations en matière de protection des données à l’égard du grattage par des tiers de leurs sites. Ces obligations s’appliqueront généralement aux informations personnelles, que ces informations soient accessibles au public ou non. Le grattage massif de données personnelles peut constituer une violation de données à signaler dans de nombreuses juridictions.
Le moment de la déclaration, qui a également été signé par les régulateurs de la vie privée d’Australie, de Suisse, de Norvège, de Nouvelle-Zélande, de Colombie, de Jersey, du Maroc, d’Argentine et du Mexique – qui sont tous membres du groupe de travail sur la coopération internationale en matière d’application de la Global Privacy Assembly – coïncide avec Le battage médiatique actuel autour des modèles d’IA générative qui nécessitent généralement de grandes quantités de données pour la formation et pourraient encourager davantage d’entités à gratter Internet dans le but d’acquérir des ensembles de données saute dans le train de l’IA générative.
Des exemples très médiatisés de tels systèmes, tels que le grand modèle de langage ChatGPT d’OpenAI, se sont appuyés (au moins en partie) sur des données publiées en ligne pour former leurs systèmes – et un recours collectif a été intenté contre la société américaine en juin, dont CNN Business a fait état. , affirme avoir secrètement récupéré « d’énormes quantités de données personnelles sur Internet ».
Parmi les risques liés à la vie privée soulignés par les régulateurs figurent le recours au grattage de données pour des cyberattaques ciblées telles que l’ingénierie sociale et le phishing ; vol d’identité; et pour le suivi, le profilage et la surveillance des individus, par exemple en utilisant des données pour alimenter des bases de données de reconnaissance faciale et en fournissant un accès non autorisé aux autorités – un coup clair contre Clearview AI, qui a fait face à un certain nombre de mesures de répression de la part des régulateurs internationaux (dont plusieurs dans l’UE). ) pour son utilisation de données récupérées pour alimenter un outil d’identification par reconnaissance faciale qu’il a vendu aux forces de l’ordre et à d’autres utilisateurs.
Ils avertissent également que les données récupérées peuvent être utilisées à des fins politiques ou de collecte de renseignements non autorisées, notamment par des gouvernements étrangers ou des agences de renseignement. Et être utilisé pour diffuser du marketing direct ou du spam indésirable.
Ils ne citent pas directement la formation de modèles d’IA comme l’un de ces risques « clés » pour la vie privée, mais les outils d’IA générative qui ont été formés sur les données des personnes à leur insu ou sans leur consentement pourraient être réutilisés pour un certain nombre de cas d’utilisation malveillante qu’ils citent. notamment pour usurper l’identité de personnes à des fins de cyberattaques ciblées, de fraude d’identité ou pour surveiller/surveiller des individus.
En plus de la déclaration rendue publique, les régulateurs notent qu’une copie a été envoyée directement à la société mère de YouTube, Alphabet ; ByteDance, société mère de TikTok ; Meta (propriétaire d’Instagram, Facebook et Threads) ; Microsoft (LinkedIn); Sina Corp (Weibo); et X (alias la plate-forme anciennement connue sous le nom de Twitter) – les principales plates-formes de médias sociaux mondiales sont donc clairement au premier plan alors que les organismes de surveillance internationaux considèrent les risques pour la vie privée posés par le grattage de données.
Certaines plateformes ont bien sûr déjà connu d’importants scandales liés au grattage de données, comme le scandale d’utilisation abusive des données de Cambridge Analytica en 2018 qui a frappé Facebook après qu’un développeur de sa plateforme ait pu extraire des données sur des millions d’utilisateurs à leur insu ou sans leur consentement. des autorisations laxistes appliquées par l’entreprise ; ou la pénalité de 275 millions de dollars imposée par le Règlement général sur la protection des données (RGPD) à Facebook l’année dernière en relation avec un incident de grattage de données qui a touché 530 millions d’utilisateurs en raison d’une conception de produit non sécurisée. (Ce dernier incident fait également l’objet d’une action en justice intentée par un groupe irlandais de défense des droits numériques qui conteste la conclusion de la DPA selon laquelle il n’y a eu aucune violation de la sécurité.)
Même si la déclaration commune des régulateurs contient un message clair à l’encontre des sites de médias sociaux grand public sur la nécessité d’être proactif en matière de protection des informations des utilisateurs contre le grattage, aucun avertissement aussi clair n’accompagne le message selon lequel l’incapacité d’agir et de protéger les données des personnes sera entraîner des mesures coercitives, ce qui risque de diluer quelque peu l’impact de la déclaration.
Au lieu de cela, les organismes de surveillance exhortent les plateformes à « examiner attentivement la légalité des différents types de grattage de données dans les juridictions qui leur sont applicables et à mettre en œuvre des mesures de protection contre le grattage illégal de données ».
« Les techniques permettant de récupérer et d’extraire de la valeur à partir de données accessibles au public émergent et évoluent constamment. La sécurité des données est une responsabilité dynamique et la vigilance est primordiale », écrivent-ils également. « Comme aucune mesure de protection ne protège adéquatement contre tous les dommages potentiels à la vie privée associés au grattage de données, les SMC et autres sites Web devraient mettre en œuvre des contrôles techniques et procéduraux à plusieurs niveaux pour atténuer les risques. »
Les mesures recommandées pour limiter les risques de grattage des données des utilisateurs et mentionnées dans la lettre incluent la désignation d’une équipe/de rôles internes axés sur les risques de grattage de données ; « limiter » le nombre de visites par heure ou par jour d’un compte vers d’autres profils de compte et limiter l’accès si une activité inhabituelle est détectée ; et surveiller la rapidité et l’agressivité avec lesquelles un nouveau compte commence à rechercher d’autres utilisateurs et à prendre des mesures pour répondre à une activité anormale.
Ils suggèrent également que les plates-formes prennent des mesures pour détecter les scrapers en identifiant des modèles d’activité des robots, par exemple en disposant de systèmes pour détecter les activités suspectes d’adresses IP.
Prendre des mesures pour détecter les robots, telles que le déploiement de CAPTCHA et le blocage de l’adresse IP là où une activité de grattage de données est identifiée, est une autre recommandation (bien que les robots puissent résoudre les CAPTCHA, ce conseil semble déjà obsolète).
D’autres mesures recommandées sont que les plateformes engagent des actions en justice appropriées contre les scrapers, telles que l’envoi de lettres de « cessation et d’abstention » ; exiger la suppression des informations récupérées ; obtenir la confirmation de la suppression ; et prendre d’autres mesures juridiques pour faire respecter les termes et conditions interdisant le grattage de données.
Les plateformes peuvent également avoir l’obligation d’informer les personnes concernées et les régulateurs de la vie privée en vertu des lois existantes sur les violations de données, préviennent les organismes de surveillance.
Les géants des médias sociaux qui ont reçu une copie de la lettre sont encouragés à répondre dans un délai d’un mois en démontrant comment ils répondront aux attentes des régulateurs.
On a demandé aux individus de « penser à long terme »
La lettre comprend également des conseils aux individus pour qu’ils prennent des mesures pour se protéger contre les risques de scraping, notamment en suggérant aux utilisateurs Web de prêter attention aux politiques de confidentialité des plateformes ; réfléchissez bien à ce qu’ils choisissent de partager en ligne ; et utilisez tous les paramètres qui leur permettent de contrôler la visibilité de leurs publications.
« En fin de compte, nous encourageons les individus à penser à long terme », ajoutent-ils. « Que penserait une personne des années plus tard, à propos des informations qu’elle partage aujourd’hui ? Bien que les SMC et autres sites Web puissent proposer des outils permettant de supprimer ou de masquer des informations, ces mêmes informations peuvent rester éternellement sur le Web si elles ont été indexées ou récupérées, puis partagées.
La lettre exhorte également les personnes craignant que leurs données aient été récupérées « illégalement ou de manière inappropriée » à contacter la plateforme ou le site Web en question et si elles n’obtiennent pas de réponse satisfaisante, elle leur suggère de déposer une plainte auprès de leur autorité de protection des données compétente. Les régulateurs encouragent donc les utilisateurs à être plus vigilants concernant le scraping, ce qui pourrait, à terme, conduire à une augmentation des enquêtes et des contrôles dans ce domaine.
La douzaine de régulateurs internationaux signataires de la déclaration commune sont tous issus de marchés hors Union européenne. Mais, comme indiqué ci-dessus, les régulateurs européens de la protection des données sont déjà actifs sur les risques liés au piratage des données grâce aux mesures prises dans le cadre du RGPD du bloc.
Ils surveillent également de près les développements dans les services d’IA générative – de sorte que les préoccupations soulevées dans la lettre semblent largement alignées sur les problèmes déjà sur le radar des autorités de protection des données du bloc.
Notamment, l’organisme italien de surveillance de la vie privée a frappé ChatGPT avec une ordonnance locale d’arrêt du traitement plus tôt cette année, ce qui a conduit à une brève interruption du service tandis qu’OpenAI s’est précipité avec des divulgations et des contrôles. Le lancement du chatbot Bard AI de Google a pris plus de temps dans l’UE que dans certaines autres régions après que son principal régulateur européen de la protection de la vie privée en Irlande ait soulevé des préoccupations similaires. Mais les APD de l’UE se coordonnent simultanément sur la meilleure façon d’appliquer les règles locales de protection des données à ces nouveaux chatbots IA, notamment face à la question cruciale de la licéité du traitement des données utilisé pour former les modèles à la lumière du cadre du RGPD. Les décisions sur la légalité fondamentale d’outils tels que ChatGPT restent donc en attente au sein de l’UE.
Plus tôt cette année, la CNIL, la DPA française, a également averti que la protection contre le grattage des données serait un élément clé du plan d’action sur l’IA qu’elle a annoncé en mai.